LE POINT DE VUE DU GESTIONNAIRE DE RISQUES

Auteur : Pierre SONIGO (N 1964 ICiv)

À nouvelle Révolution Industrielle, nouveaux risques ? Même si la réponse est évidente, le rôle du Gestionnaire de Risques est de faire une analyse approfondie a priori de ces risques, en commençant par les cartographier puis en proposant des solutions pour en diminuer la probabilité de réalisation ou la gravité.

La démarche du Gestionnaire de Risques se veut constructive. Il ne souhaite pas empêcher la prise de risque inhérente à toute innovation, mais en augmenter les chances de succès par une meilleure maîtrise des potentiels d’échec.
L’Industrie 4.0 correspond à une nouvelle façon d’organiser les moyens de production en faisant converger le monde virtuel (données numériques) avec les produits et objets du monde réel. Cette transformation doit permettre une plus grande agilité de la production, celle-ci pouvant intégrer une grande diversité de données pour produire de façon plus efficace. Cela impliquera une automatisation des outils de production où se multiplieront les capteurs, éléments de base des systèmes d’acquisition et de contrôle des données. Cette masse exponentielle de données collectées de tous types (techniques, commerciales, financières, comportementales, environnementales) devra être stockée dans des entrepôts délocalisés, distribuée par des infrastructures de réseaux complexes et mise à disposition des utilisateurs de façon directement exploitable. On conçoit bien alors que c’est dans la gestion de ces données que résidera la principale source des nouveaux risques de l’industrie 4.0 (qui viendront, comme une couche supplémentaire, s’ajouter aux risques des trois révolutions industrielles précédentes, qui n’auront pas pour autant disparu !). Évoquons brièvement en les catégorisant quels seront ces nouveaux risques.

RISQUES GÉOPOLITIQUES

Les données seront probablement stockées dans le “Cloud” c’est-à-dire des centres de stockage délocalisés incontrôlables par les utilisateurs. Par exemple, beaucoup de données sont aujourd’hui conservées dans les data centers de Microsoft, Google ou Amazon aux États-Unis. Mais dans l’avenir d’autres pays pourront aussi accueillir ces centres (Inde, Chine, Russie…). Ces pays pourraient alors détenir un moyen de pression sur l’industrie mondiale, comme c’est d’ailleurs déjà le cas aujourd’hui des pays détenteurs de sources de métaux rares nécessaires à la fabrication des milliards de capteurs et processeurs qui seront implantés partout.

Il est aussi facile d’imaginer ce qu’une utilisation détournée à des fins politiques des informations collectées peut avoir comme conséquence (habitudes de consommateurs utilisées pour des campagnes électorales par exemple). Enfin, pour faire communiquer entre eux les objets connectés dans un internet des objets, il faudra des normes et des standards. Qui les définira ? On perçoit bien les enjeux politiques et industriels de ceux qui tiendront la plume pour la rédaction de ces normes.

CYBERCRIMINALITÉ

La digitalisation de l’industrie déplace les enjeux et donc les risques de la continuité d’activité pour les entreprises vers la continuité des systèmes
d’information. Une étude de Cisco Systems estime que le nombre d’équipements connectés dans le monde devrait atteindre prochainement 50 milliards. La question n’est plus de savoir “si” mais “quand” une entreprise sera victime d’une cyberattaque. On en recense annuellement plus de deux millions au niveau mondial. 61 % des grandes entreprises auraient déjà été la cible d’une ou plusieurs cyberattaques. Le coût moyen d’un incident augmente d’année en année. Il se situe aujourd’hui en moyenne autour de 1 million de dollars, mais a pu atteindre jusqu’à 27 millions de dollars pour certaines grande entreprises. Plus inquiétant, il faut en moyenne 7 mois à une entreprise pour détecter une violation de ses données, et 75 jours pour y remédier et reprendre une activité normale et sécurisée.

Les scénarios catastrophes estiment qu’une cyberattaque mondiale de type ransomware qui viserait des dizaines de milliers d’ordinateurs, pourrait engendrer des dommages records pour l’industrie, que l’on estime entre 85 et 193 milliards de dollars. Cela placerait un tel événement au niveau des tristes records des plus coûteuses catastrophes naturelles que furent l’ouragan Katrina en 2005 et le Tsunami de Tohoku en 2011 au Japon.

RISQUES DE DOMMAGES PHYSIQUES

Les data centers sont devenus le centre névralgique de cette révolution du digital, tant pour la concentration des données que pour tous les systèmes et équipements stratégiques qu’ils abritent. Les statistiques parlent d’elles-mêmes : lorsque son data center est à l’arrêt, une entreprise perd en moyenne 7 900 dollars à la minute.

Cette concentration dans les data centers ne présente pas seulement des risques virtuels de cyberattaques, mais aussi des risques physiques bien réels qui ne doivent pas être sous-estimés, tout autant que la concentration de biens dans un entrepôt logistique. L’incendie et l’inondation représentent, à parts égales, 72 % de la sinistralité constatée dans les data centers. Le principe même du data center est d’assurer une bonne connexion réseau et une très haute disponibilité du système d’information. Pour y parvenir, la climatisation, le contrôle de la poussière, l’alimentation électrique d’urgence et de secours sont des fonctions physiques indispensables à maîtriser, mais chacune présente ses problématiques d’incendie spécifiques.

Par exemple, les progrès réalisés sur la taille des composants permettent d’avoir des serveurs de plus en plus compacts et denses mais ces derniers émettent beaucoup de chaleur. Ils doivent être continuellement réfrigérés ou tempérés. Ceci constitue un enjeu énergétique majeur de l’industrie de la donnée. Pour améliorer la performance de climatisation, on utilise des systèmes de refroidissement par immersion qui utilisent des huiles minérales diélectriques. Et l’on crée également des couloirs chauds et froids de circulation d’air dans les salles serveurs à l’aide de matériaux plastiques combustibles. Ces nouveaux risques n’existaient pas dans les “vieilles” salles serveurs de l’industrie 3.0. Et force est de constater que l’entreprise 4.0 n’a plus la maîtrise de ce risque, puisque la gestion de la donnée dans le “cloud” est entièrement sous-traitée à d’autres entreprises spécialistes.

Même si la technologie et les risques évoluent, la protection physique des data centers reste toujours un enjeu majeur de cette nouvelle révolution digitale.

   Des milliards de données saisies à travers le monde sont stockées dans ce gigantesque Data Center de l’Iowa. Photo : DR

 RISQUES JURIDIQUES ET DE RESPONSABILITÉS

À qui appartiennent les données utilisées ? Elles peuvent concerner des individus (clients, salariés, entreprises extérieures de sous-traitances), des personnes morales (concepteurs ou fabricants de logiciels, machines, robots, réseaux commerciaux, R&D, brevets) et des sources diverses (gouvernements, fédérations professionnelles, concurrents).

En réponse aux risques de dérives, de mésusage, de détournement, de vol, de manipulation, d’appropriation ou usages illégaux de ces informations du fait de la connexion des objets sur internet, le droit de propriété devrait être logiquement renforcé ou clarifié, en déterminant notamment qui aura la charge de superviser la propriété des objets connectés et de l’information qu’ils ont collectivement collectés. On conçoit bien alors la nécessité d’un  gouvernance internationale en la matière, sur laquelle pourra s’appuyer une nécessaire gouvernance au sein des entreprises elles-mêmes. À défaut il faudra s’attendre à un nombre incalculable de contentieux onéreux et générateurs d’arrêts de production.

RISQUES ENVIRONNEMENTAUX, SANITAIRES ET SOCIÉTAUX

Quels seront les nouveaux impacts environnementaux ? Au-delà des impacts habituels liés à toute forme d’industrie, il y aura sans doute à prévoir un procédé particulier pour le traitement des composants toxiques des capteurs en fin de vie, ainsi que des précautions spécifiques pour les centres de stockage des données qui, nous l’avons vu, ont besoin de systèmes de refroidissement gourmands en eau et en énergie. En contrepartie, du fait d’une optimisation des ressources, de l’amélioration de la productivité et de la qualité des produits, on pourra espérer un meilleur impact sur l’environnement par une diminution de l’utilisation de ressources naturelles et des déchets.

Pour les risques sanitaires, le principal sujet d’actualité est l’utilisation généralisée de la nouvelle technologie 5G pour laquelle de nombreuses études sont en cours afin d’en prévoir l’impact sur la santé.

Enfin le risque majeur pour nos sociétés concerne sans doute l’emploi de millions de salariés à travers le monde qui sera perdu. L’accompagnement des salariés actuels et la formation des nouveaux salariés seront à prendre en compte. Il est difficile d’imaginer que des millions de travailleurs se retrouvent sans emploi. Il est donc essentiel de réfléchir à la place de l’humain (formation, mobilité, télétravail, digitalisation) dans l’industrie 4.0.

En conclusion, nous venons de faire un bref inventaire de ce que nous considérons être les principaux enjeux et risques nouveaux liés à l’industrie 4.0. Il est en effet important d’en étudier, le plus en amont possible, les conséquences potentielles pour tenter de les maîtriser soit en les éliminant, soit en trouvant des mesures préventives pour en diminuer l’impact. Il est donc essentiel d’être vigilant et d’associer un gestionnaire de risques à toutes les étapes de la mise en oeuvre de ces nouveaux projets.

PIERRE SONIGO (N64), Risk manager, Fondation Livelihoods pierre.sonigo@mines-nancy.org 
DAVID HOURTOLOU (N93), Directeur Commercial, FM Global david.hourtolou@mines-nancy.org